מחקר חדש שפורסם על ידי חוקר אבטחת הסייבר נרימן רריב מלונדון חושף פעילות ריגול סייבר נרחבת שביצעה חברת "אמנבאן, שריף טכנולוגיות מתקדמות" נגד חברות תעופה בינלאומיות. המסמכים שהודלפו, שפורסמו על ידי רריב ובהמשך דווחו ברשת "איראן אינטרנשיונל", מצביעים על קשר ישיר בין החברה למשרד המודיעין של הרפובליקה האסלאמית של איראן, תוך ביצוע מתקפות סייבר מתוחכמות במסווה של שירותי אבטחת סייבר.
על פי המסמכים שהשיג רריב משרתי החברה הפנימיים, חברת אמנבאן - שהוקמה ב-2019 תחת הכסות של מתן שירותי אבטחת סייבר - שימשה כזרוע מבצעית של קבוצת ההאקרים APT39, הידועה גם בשם "צ'אפר". קבוצה זו, הקשורה ישירות למשרד המודיעין האיראני, מיקדה את פעילותה באיסוף מידע רגיש מחברות תעופה ברחבי העולם, כולל חברות ממדינות הנחשבות לבעלות ברית של איראן, כמו רוסיה וקטאר, לצד חברות ממדינות הנתפסות כעוינות על ידי טהרן.
רשימת היעדים שנחשפה כוללת חברות תעופה מובילות כגון רויאל ג'ורדניאן, טורקיש איירליינס, איתיחאד איירליינס, קטאר איירווייז, אמירייטס, פליי דובאי, עומאן אייר, וויז אייר, אייר סרביה, קניה איירווייז, אייר טנזניה, אייר בוטסואנה, לוט פוליש איירליינס וחברות תעופה רוסיות כמו אזימוט. בנוסף, נחשפו מתקפות על חברות שילוח אמריקאיות כגון פדקס, USPS ו-DHL, וכן נגד חברת ארמקס הירדנית.
המתקפות, שהוסוו כ"אימוני OSINT" (מודיעין ממקורות גלויים), כללו פעולות של הנדסה חברתית, שליחת קישורים זדוניים, הצעות כספיות לעובדים עבור שיתוף פעולה וגניבת מידע כגון כתובות IP ונתוני מכשירים. עדכון אחרון מגלה כי אמנבאן השתמשה בתשתית של מאות כתובות דואר אלקטרוני ושרתים מזויפים ברחבי העולם, כולל מארחים כמו ultahost.com ו-client.host4fun.com, כדי לתמוך בקמפיינים אלה.
טבלה שפורסמה לאחרונה, ב-21 ביולי 2025, חושפת רשימה של מטרות נוספות, כולל לקוחות מדומים עם כתובות דוא"ל כגון [email protected] (סינגפור) ו[email protected] (יפן), עם תשלומים קטנים בביטקוין (BTC) עבור שירותים אלה.
המסמכים חושפים קשר הדוק בין אמנבאן למשרד המודיעין של איראן. בהנם אמירי, מנכ"ל החברה, זוהה על ידי סוכנויות מודיעין מערביות כקשור לקבוצת APT39. אמירי העסיק את עלי קמאלי, האקר שספג סנקציות מה-FBI ומשרד האוצר האמריקני ב-2020 בגין מתקפות על תשתיות אמריקניות. בנוסף, תמונות וסרטונים מהשרתים הפנימיים של החברה מראים את נוכחותו התדירה של חאמד משאייכי, איש קשר של משרד המודיעין, במשרדי אמנבאן.
רריב ציין כי "APT39 הוא כלב השמירה האהוב על משרד המודיעין. הם לא רודפים אחר כסף, הם רודפים אחר נתונים מחברות תעופה זרות, מערכות ממשלתיות וחברות תקשורת". המסמכים מראים כי פעולות החברה אורגנו בתיקיות תחת הכותרות "פרויקטים" ו"מחקר ופיתוח", אך רריב הדגיש: "חוקרי אבטחה לא מכנים פריצה לחברות תעופה 'פרויקט'. סוכנויות מודיעין עושות זאת".
מלבד חברות תעופה, אמנבאן ביצעה קמפיין נרחב נגד בורסות קריפטו כגון KuCoin, Binance ו-Coinswitch. מסמך בשם "social engineering.docs" חשף שיטות מתוחכמות של הנדסה חברתית, כולל שליחת הודעות בשפה לא מובנת כדי לעקוף צוותי תמיכה, הצעות כספיות לעובדים, ושימוש בקישורי מעקב לגניבת מידע.
חקירתו של רריב חשפה כי אמנבאן הקימה עשרות כתובות דוא"ל ושרתים מזויפים ברחבי העולם, ששימשו כנקודות תצפית לקמפייני הסייבר שלה. העדכון האחרון מוסיף כי החברה השתמשה בתשתית זו כדי לתמוך במאות מטרות, עם תשלומים מינימליים בביטקוין שנעו בין 0.0009153 ל-0.0142769 BTC, כפי שמופיע בטבלה שפורסמה בבלוג של רריב ב-21 ביולי 2025.
החשיפה מעלה שאלות קשות לגבי האיום הגובר של מתקפות סייבר ממדינות כמו איראן, במיוחד נגד תשתיות קריטיות כמו תעופה. "ההאקרים שהבטיחו להגן על הרשתות של איראן לא יכלו אפילו להגן על שלהם", כתב רריב, תוך שהצביע על הכשל של אמנבאן בהגנה על שרתיה מפני דליפת המידע.
הממצאים מדגישים את הצורך בתגובה בינלאומית מתואמת למניעת פעילות סייבר זדונית, במיוחד כשהיא מכוונת נגד תשתיות רגישות המשפיעות על מיליוני נוסעים ברחבי העולם. העדכון האחרון מחזק את הטענות על היקף הפעילות הגלובלית של אמנבאן, ומצביע על שימוש מתוחכם בתשתיות דיגיטליות ובמטבעות קריפטוגרפיים להסתרת פעולותיה.
